【正文】 戶端是免安裝的，因此，實施工期很短，如果網(wǎng)絡條件具備，連安裝帶調試， 12天即可投入運營。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來 交換 的數(shù)據(jù)。控制 消息負責創(chuàng)建、維護及終止 L2TP隧道，而數(shù)據(jù)隧道消息則負責用戶數(shù)據(jù)的真正傳輸。 二、 IPsec 上的 GRE 隧道 GRE（ Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應用了很長的一段時間， GRE 首先由 Cisco 公司提出，目的是提供 IP 網(wǎng)絡承載其他路由協(xié)議。 圖 VPN技術典型組網(wǎng)圖 如圖 ，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和 VPN設備，分支機構及移動辦公用戶分別通過 VPN網(wǎng)關和 VPN客戶端安全連入企業(yè)內部網(wǎng)絡；同時通過防火墻和 IPS將企業(yè)內部網(wǎng)、 DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。 用戶自定義的 ACL：非用戶自定義的 ACL一旦制定之后，修改起來十分麻煩，要把整個 ACL去掉，然后才能重新建立生效，然而用戶自定義的 ACL解決了這一問題，可以在原 有的 ACL基礎上進行修改。 一個端口執(zhí)行哪條 ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。隨著網(wǎng)絡的日益復雜，域邊界的概念逐漸替代了網(wǎng)絡邊界，邊界成了網(wǎng)絡安全區(qū)域之間安全控制的基本點。 MSTP兼容 STP和 RSTP，從而彌補 STP和 RSTP的缺陷，不但可以快速收斂，同時還提供了數(shù)據(jù)轉發(fā)的多個冗余路徑，使不同 VLAN 的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉發(fā)過程中實現(xiàn) VLAN 數(shù)據(jù)的負載均衡，使設備的利用率達到最高 。 H3C交換機支持的生成樹協(xié)議有三種類型，分別是 STP（ IEEE ）、 RSTP（ IEEE ）和 MSTP（ IEEE ），這三種類型的生成樹協(xié)議均按照標準協(xié)議的規(guī)定實現(xiàn)，采用標準的生成樹協(xié)議報文格式。 將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡的帶寬，而且數(shù)據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡出現(xiàn)故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。 基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。這種技術可以把一個 LAN 劃分成多個邏輯的 LAN 即 VLAN，每個 VLAN 是一個廣播域， VLAN 內的主機間通信就和在一個 LAN 內一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內，從而最大程度的減少了廣播風暴的影響。 校園網(wǎng)絡安全策略 計算機網(wǎng)絡系統(tǒng)的安全管理主要是配合行政手段，制定有關網(wǎng)絡安全管理的規(guī)章制度，在技術上實現(xiàn)網(wǎng)絡系統(tǒng)的安全管理，確保網(wǎng)絡系統(tǒng)的安全、可靠 地運行，主要涉及以下四個方面： 一、 網(wǎng)絡物理安全策略 計算機網(wǎng)絡系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、網(wǎng)絡用戶終端機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊；驗證用哈爾濱鐵道職業(yè)技術學院畢業(yè)設計 3 戶的身份和使用權限、防止用戶越權操作；確保計算機網(wǎng)絡系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機網(wǎng)絡系統(tǒng)控制室和網(wǎng)絡黑客的各種破壞活動。 可用性：可被授權實體訪問并按需求使用的特性。因此網(wǎng)絡管理員竭盡所能在網(wǎng)絡基礎設施里添加最新的技術，在構建和維護當今高速增長的網(wǎng)絡方面，網(wǎng)絡安全扮演了舉足輕重的角色 。一方面高等教育，以計算機為核心的信息技術已成為很多專業(yè)課教學內容的有 機組成部分，計算機應用能力成為衡量大學生業(yè)務素質與能力的標識之一；另一方面初等教育中信息技術課程的普及，使高校新生的計算機基本知識起點有所提高。 因此網(wǎng)絡安全扮演的角色也會越來越重要。安全技術和解決方案需要從根本上整合到基礎設施中，與網(wǎng)絡架構融合。 做好路由器與防火墻之間的安全通信工作，防止環(huán)路， ARP 攻擊。 H3C 網(wǎng)絡技術的應用及部分介紹。 指導教師簽字： 年 月 日 哈爾濱鐵道職業(yè)技術學院畢業(yè)設計 H3C 網(wǎng)絡安全技術在校園網(wǎng)中的設計與實現(xiàn) 一、選 題的背景與意義 計算 機網(wǎng)絡安全已引起世界各國的關注，我國近幾年才逐漸開始在高等教育中滲透計算機網(wǎng)絡安全方面的基礎知識和網(wǎng)絡安全技術應用知識。 高校在網(wǎng)絡建設方面加大了力度，使用網(wǎng)絡安全策略以保證網(wǎng)絡的質量 。 在此次的校園網(wǎng)實現(xiàn)當中學校的教學、教研、遠程教學等都 連入校園網(wǎng)，網(wǎng)絡設備都已經(jīng)上線，均大部分是 H3C，其他為思科，華為；本次實施的內容： 根據(jù)要求學校的每臺計算機都能連接互聯(lián)網(wǎng)，能實現(xiàn)內部資源共享，局域網(wǎng)內采用VLAN 技術限制不同辦公室的訪問。因而可以看出，計劃執(zhí)行部門的權威性不高，需引起領導重視。此政策涉及領域廣泛，涉及上市公司眾多。信息產(chǎn)業(yè)的發(fā)展水平已成為衡量一個國家現(xiàn)代化水平與綜合國力的重要標志。因此，在現(xiàn)有的技術條件下，如何構建相對可靠的校園網(wǎng)絡安全體系，就成了校園網(wǎng)絡管 理人員的一個重要課題。 校園網(wǎng)絡安全的特征 網(wǎng)絡安全應具有以下五 個方面的特征： 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。 從網(wǎng)絡運行和管理者角度說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作受到保護和控 制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務和網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊。 四、 網(wǎng)絡安全管理策略 在計算機網(wǎng)絡系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡技術措施保護網(wǎng)絡安全，還必須加強網(wǎng)絡的行政安全管理，制定有關網(wǎng)絡使用的規(guī)章制度，對于確保計算機網(wǎng)絡系統(tǒng)的安全、可靠地運行，將會起到十分有效的作用。 基于 MAC 地址的 VLAN 劃分 MAC 地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。而且設備能夠將本地的 VLAN 注冊信息向其它設備傳播，使同一局域網(wǎng)內所有設備的 VLAN 信息達成一致，減少由人工配置帶來的錯誤的可能性。 ? 一個端口不能再相同時間內屬于多個匯聚組。對于 VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機。一個虛擬路由器由 一個主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正的轉發(fā)功能。 靜態(tài)轉換 是指將內部網(wǎng)絡的私有 IP地址轉換為公有 IP地址， IP地址對是一對一的，是一成不變的，某個私有 IP地址只轉換為某個公有 IP地址。采用端口多路復用方式。如圖 ,VLAN10可以拒絕 VLAN11的所有訪問流量。 圖 ACL技術組網(wǎng)圖 另外還有一些特殊情況下的 ACL技術的應用 ： 基于 MAC地址的 ACL：二層 ACL 根據(jù)源 MAC 地址、目的 MAC 地址、 優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則，對數(shù)據(jù)進行相應處理。 VPN 只為特定的企業(yè)或用戶群體所專用。ESP能提供的安全服務則更多，除了上述 AH所能提供的安全服務外，還能提供數(shù)據(jù)機密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識別 。但是 GRE隧道不提供安全特性，不會對流量進行加密、完整性驗證，而 IPsec剛好解決了這個難題，這樣基于 IPsec的 GRE的 VPN強大功能特性就充分體現(xiàn)了。因此就一般企業(yè)用戶 構建安全的 VPN 而言，應該使用 IPsec 技術，當然如果需要實現(xiàn)安全的 VPDN，就應該采用 L2TP+IPsec 組合技術 四、 SSL VPN 技術的應用 SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。 IPSec VPN 最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的 VPN 策略稍微有所改變時， VPN 的管理難度將呈幾何級數(shù)增長。而 SSL VPN就不一樣，實現(xiàn)的是 IP級別的訪問，遠程網(wǎng)絡和本地網(wǎng)絡幾乎沒有區(qū)別。因此此方法對保證網(wǎng)絡不間斷運行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。設置通過主路徑的路由優(yōu)先級最高，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當線路發(fā)生故障時該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。 OSPF 路由協(xié)議是目前部署最為廣泛的一種路由協(xié)議，協(xié)議的安全性對網(wǎng)絡有著重要意義。非骨干區(qū)域內部路由信息通過 ABR 匯總進入骨干區(qū)域 , 通告給其他區(qū)域。當某一節(jié)點試圖發(fā)送偽造的或是修改的 LSA 時 , 只要有一條其他的可用路由 , 使該 LSA 所聲明的通告路由器收到該 LSA, 若該 LSA 描述的信息與自身信息不一致時 ,該路由器會生成一個新的 LSA 實例 , 將其 LSA 的序號超過所接收到的 LSA 序號 , 并泛洪出去 , 從而使偽造的 LSA 被丟棄 , 實現(xiàn)一定程度的自衛(wèi)。 BGP 路由協(xié)議 BGP（ Border Gateway Protocol，邊界網(wǎng)關協(xié)議）是用來連接 Inter 上的獨立系統(tǒng)的路由選擇協(xié)議。當檢測到一個跳躍的或重發(fā)的序列號時 , 就用一個 Notification 報文終止 BGP 鏈路。 另外介紹一下 BGP 下一條的特性， R2 向 AS200 通告 R1 的路由時，通常都將 R1的環(huán) 回地址作為下一條，這樣雖然整個路由查詢沒有錯誤，但是為了節(jié)省路由查詢的時間，通常 R2 將自己作為下一條。 趨勢二：攻擊工具越來越復雜。防火墻是人們用來防范入侵者的主要保護措施。由于用戶越來越多地依賴 Inter完成日常業(yè)務，基礎設施攻擊引起人們越來越大的擔心。通過全網(wǎng)部署，可以有效的防御“仿冒網(wǎng)關” 、“欺騙網(wǎng)關”、“欺騙終端用戶”、“ ARP 中間人攻擊”、“ ARP 泛洪攻擊”等校園網(wǎng)中常見的 ARP 攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡化了網(wǎng)絡配置。專家建議可以采取的安全防御措施有以下幾種。 （ 3）利用網(wǎng)絡安全設備（例如：防火墻）來加固網(wǎng)絡的安全性，配置好這些設備的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)包。通過一些程序 ,自動地從電腦字典中取出一個單詞 ,作為用戶的口令輸入給遠端的主機 ,申請進入系統(tǒng)。它是利用網(wǎng)絡進行復制和傳播，傳染途徑是通過網(wǎng)絡和電子郵件。 不隨意查看陌生郵件 ， 尤其是帶有附件的郵件 ： 由于有的病毒郵件能夠利用 IE 和Outlook 的漏洞自動執(zhí)行，所以計算機用戶需要升級 IE 和 Outlook 程序，及常用的其他應用程序。針對這種攻擊，只需要攻擊者連接的交換機本征 VLAN 與所攻擊的本征 VLAN 不是同一個 VLAN 即可。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡都將是致命性的。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內杜絕病毒的感染、傳播和發(fā)作。校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問 題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。 一般來說，構筑校園網(wǎng)絡安全體系，要從兩個方面著手：一是采用先進的技術；二是不斷改進管理方法。它是利用 TCP客戶機與服務器之間三次握手過程的缺陷來進行的。雖然網(wǎng)絡安全在某種程度上得到了一定的保障，但安全往往與危險并存，目前常見的 VLAN 的攻擊有以下幾種 ： 攻擊者惡意發(fā)送 DTP幀：用于接收偽造 DTP 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。蠕蟲病毒是自包含的程序或是一套程序，它能傳播自身功能的拷貝或自身的某些部分到其它的計算機系統(tǒng)中。并一直循環(huán)下去 ,直到找到正確的口令哈爾濱鐵道職業(yè)技術學院畢業(yè)設計 19 或字典的單詞試完為止。 （ 5）當用戶發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，應當啟動自己的應付策略，盡可能快地追蹤攻擊包，并且及時聯(lián)系 ISP和有關應急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。它不需要在接入交換機上進行特殊的防攻擊配置，只需要客戶端通過認證協(xié)議（ ）登錄網(wǎng)絡，認證服務器（如 CAMS 服務器）會識別客戶端，并下發(fā)網(wǎng)關的 IP/MAC 對應關系給客戶端，來 防御“仿冒網(wǎng)關”攻擊。 接下來我們認識下目前網(wǎng)絡上常見的幾種攻擊方式 ： ARP 攻擊 ARP攻擊就是通過偽造 IP地址和 MAC地址實現(xiàn) ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的 ARP響應包就能更改目標主機 ARP緩存中的 IPMAC條目，造成網(wǎng)絡中斷或中間人攻擊。 Inter上的安全是相互依賴的。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測。在最近幾年里，網(wǎng)絡攻擊技術和攻擊工具有了新的發(fā)展趨勢，使借